Euroopa Liidu võitlus küberrünnete vastu

ELi liikmesriikidele ohtu kujutavad küberründed hõlmavad ründeid, mis mõjutavad järgmiste valdkondadega seotud infosüsteeme:

• elutähtis taristu, mis on hädavajalik ühiskonna elujõulise toimimise või kodanike tervise, turvalisuse, julgeoleku ning majandusliku või sotsiaalse heaolu seisukohalt;
• teenused, mis on vajalikud olulise ühiskondliku ja majandustegevuse seisukohast, eelkõige energeetika, transport, pangandus, rahandus, tervishoid, joogivesi ja digitaristu;
• riigi põhifunktsioonid, eelkõige kaitse, valitsemine ja institutsioonide toimimine, üldvalimised, majandus- ja tsiviiltaristu, sisejulgeolek ja välissuhted, sh diplomaatilised missioonid;
• salastatud teabe talletamine või töötlemine;
• valitsuste juures tegutsevad hädaolukordadele reageerimise rühmad.

ELi ühise diplomaatilise reageerimise raamistik pahatahtlikule kübertegevusele (nn küberdiplomaatia meetmete kogum) kehtestati 2017. aasta juunis. See võimaldab ELil ja selle liikmesriikidel kasutada kõiki neid meetmeid, sh vajaduse korral piiravaid meetmeid, et ennetada, ära hoida ning takistada sellist pahatahtlikku kübertegevust, mis ohustab ELi ja selle liikmesriikide terviklikkust ja julgeolekut, ning sellele reageerida.

2019. aasta mais lõi ELi nõukogu sanktsioonide raamistiku, mis võimaldab ELil kehtestada sihipäraseid piiravaid meetmeid, et takistada küberründeid ja neile reageerida, kui need kujutavad välist ohtu ELile või selle liikmesriikidele. See raamistik on õiguslik alus, mis võimaldab ELil kehtestada sanktsioone isikute või üksuste suhtes, kes:

• vastutavad küberrünnete või nende elluviimiskatsete eest;
• annavad selliste rünnete tarbeks rahalist, tehnilist või materiaalset tuge;
• on nendega muul viisil seotud.

See sanktsioonirežiim hõlmab küberründeid, millel on märkimisväärne mõju ja mis lähtuvad väljastpoolt ELi või mis pannakse toime väljaspool ELi, mille jaoks kasutatakse väljaspool ELi asuvat taristut, mille on toime pannud väljaspool ELi tegutsevad isikud või väljaspool ELi asutatud üksused või mis viiakse läbi väljaspool ELi tegutsevate isikute või üksuste toetusel. Selle sanktsioonirežiimi alusel sanktsioneeritud isikute hulka kuuluvad Venemaa kodanikud, kes vastutavad rea ELi ja selle liikmesriikide vastu toime pandud küberrünnete eest, sh 2015. aasta rünne Saksamaa föderaalparlamendi vastu ja 2020. aasta ründed mitme Eesti ministeeriumi vastu. Sanktsioneeritud üksuste hulka kuuluvad ettevõtjad, kes osutavad ELi liikmesriikides häkkimisteenuseid ja tooteid, mida kasutatakse seadmete nakatamiseks ja neile juurdepääsu saamiseks. Need üksused asuvad ELi-välistes riikides, nagu Venemaa, Hiina ja Iraan.

Sanktsioonid hõlmavad isikute ELi reisimise keeldu ning isikute ja üksuste varade külmutamist. Lisaks on keelatud rahaliste vahendite ja majandusressursside otsene ja kaudne kättesaadavaks tegemine sanktsioneeritud isikutele või üksustele või nende kasuks. Piiravaid meetmeid saab kehtestada ka kolmandate riikide ja rahvusvaheliste organisatsioonide vastu suunatud küberrünnete korral, kui selliseid meetmeid peetakse vajalikuks, et saavutada ühise välis- ja julgeolekupoliitika eesmärke.

Nende piiravate meetmetega püüab EL hoida ära pahatahtlikku kübertegevust ja toetada rahvusvahelist reeglitel põhinevat korda, tagades, et rünnete eest vastutavad isikud võetakse vastutusele.

Viimase sanktsiooniotsuse tegi ELi nõukogu 11. mail. Sellega pikendati ELi piiravaid meetmeid (sanktsioone) ELi ja selle liikmesriike ähvardavate küberrünnetega seotud osalejate vastu ühe aasta võrra kuni 18. maini 2027. Nende meetmete õigusraamistikku oli juba pikendatud kuni 18. maini 2028. Piiravaid meetmeid (sanktsioone) kohaldatakse selle otsuse kohaselt 19 isiku ja seitsme üksuse suhtes. Nende isikute ja üksuste varad külmutatakse ning ELi kodanikel ja äriühingutel on keelatud teha neile kättesaadavaks rahalisi vahendeid ja majandusressursse. Füüsiliste isikute suhtes kohaldatakse lisaks reisikeeldu, mis takistab neil ELi territooriumile sisenemast või seda läbimast. Otsus vaadatakse tulevikus läbi iga 12 kuu järel.

Muud olulisemad ELi küberturvalisuse poliitikameetmed on järgmised

2016. aasta võrgu- ja infosüsteemide turvalisust käsitlev direktiiv (küberturvalisuse direktiiv). Selle direktiiviga sätestati turvalisusega seotud kohustused oluliste teenuste operaatorite jaoks (elutähtsates sektorites, nagu energeetika, transport, tervis ja rahandus) ning digitaalse teenuse osutajate jaoks (internetipõhised kauplemiskohad, otsingumootorid ja pilvandmetöötlusteenused).

2022. aastal võttis EL selle direktiivi asendamiseks vastu muudetud küberturvalisuse direktiivi (küberturvalisuse 2. direktiiv). Sellega:

• sätestatakse õigusraamistiku miinimumnormid;
• kehtestatakse ELi liikmesriikide asjaomaste asutuste tulemuslikuks koostööks vajalikud mehhanismid;
• ajakohastatakse selliste sektorite ja tegevuste loetelu, mille suhtes küberturvalisusega seotud kohustusi kohaldatakse;
• käsitletakse küberintsidente.

Liikmesriikidel oli küberturvalisuse 2. direktiivi täielikuks ülevõtmiseks ja rakendamiseks aega 2024. aasta oktoobrini.

2024. aasta küberkerksuse määrus, millega kehtestati küberturvalisuse nõuded digielemente sisaldavatele toodetele, mis on ühendatud internetiga või muude seadmetega. Sellega tagatakse selliste toodete, nagu ühendatud kodukaamerad, külmkapid, telerid ja mänguasjad, ohutus enne nende turulelaskmist ja kogu nende olelusringi jooksul. Määrusega parandatakse ka tarbijate jaoks läbipaistvust, võimaldades üksikisikutel pääseda juurde teabele nende ostetud ja kasutatavate toodete küberturvalisuse kohta.

2024. aasta kübersolidaarsuse määrus. Sellega loodi hulk kogu ELi hõlmavaid võimeid, et muuta Euroopa küberohtude suhtes vastupidavamaks ja reageerimisvõimelisemaks, tugevdades samal ajal koostöömehhanisme. Nende normidega:

• luuakse küberturvalisuse hoiatussüsteem – üleeuroopaline taristu, mis koosneb riiklikest ja piiriülestest küberkeskustest, mille ülesanne on toetada küberohtude ja -intsidentide avastamist;
• nähakse ette küberturvalisuse hädaolukorra mehhanismi loomine, et tugevdada valmisolekut ja kaitsta elutähtsaid üksusi ja elutähtsaid teenuseid, nagu haiglad ja kommunaalteenused;
• tugevdatakse solidaarsust ELi tasandil ning kooskõlastatud kriisiohje- ja reageerimisvõimet kõigis liikmesriikides;
• aidatakse kaasa ohutu ja turvalise digimaastiku tagamisele kodanike ja ettevõtjate jaoks.

Kübersolidaarsuse määrus jõustus 4. veebruaril 2025.

6. juunil 2025 võttis nõukogu vastu ELi küberkriiside ohjamise tegevuskava.

ELi nõukogu materjalide põhjal koostanud Reet Teder